Der in der abgelaufenen Legislaturperiode vorgelegte und nicht mehr verabschiedete Entwurf zum Bürgerportalgesetz des Bundes, mit dem die rechtlichen Grundlagen für eine sichere Infrastruktur für E-Mail-Kommunikation geschaffen werden sollten, war aus datenschutzrechtlicher Sicht unausgereift.
Der Gesetzentwurf der Bundesregierung zur Regelung von Bürgerportalen hatte zum Ziel den Rechtsrahmen zu schaffen, der zur Einführung vertrauenswürdiger Bürgerportale im Internet benötigt wird. Mit den Bürgerportalen sollte eine zuverlässige und geschützte Infrastruktur eingeführt werden, die die Vorteile der E-Mail mit Sicherheit, Verbraucherschutz und Datenschutz verbindet. Es war geplant, dass im Rahmen eines Akkreditierungsverfahrens die Bürgerportaldiensteanbieter nachweisen sollten, dass die durch sie angebotenen E-Mail-, Identitätsbestätigungs- und Speicherdienste hohe Anforderungen an Sicherheit, Daten- und Verbraucherschutz erfüllen. Zur Entlastung der zuständigen Behörde sollte die Nachweiserbringung auch über anerkannte private Stellen erfolgen können. Nur die Akkreditierung selbst sollte ausschließlich durch die zuständige Behörde erfolgen.
Die Betreiber von Bürgerportaldiensten sollten verpflichtet werden, die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten, so dass diese auf dem Transportweg nicht ausgespäht oder mitgelesen werden können. Auch sollte die Sicherheit der Speicherdienste ein hohes Niveau erreichen.
Der Bundesbeauftragte für den Datenschutz und Informationsfreiheit hat den Landesdatenschutzbeauftragten schon sehr frühzeitig Gelegenheit gegeben, zu dem Gesetzentwurf Stellung zu nehmen. Ich habe diese Gelegenheit genutzt und meine Kritikpunkte sowohl gegenüber dem Bundesbeauftragten als auch gegenüber dem Hessischen Ministerium des Innern und für Sport vorgetragen. Im Wesentlichen handelte es sich dabei um folgende Punkte:
Da das Gesetz vor der Bundestagswahl nicht mehr verabschiedet wurde, aber eine Wiederaufnahme des Projekts zu erwarten ist, sollten alle Bemühungen darauf gerichtet sein, auf datenschutzrechtliche Verbesserungen hinzuwirken.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
Der voraussetzungslose Anspruch Betroffener auf Auskunft ist Ausfluss des Rechts auf informationelle Selbstbestimmung. Mit einer Verwaltungsanweisung, die den Auskunftsanspruch Steuerpflichtiger weitgehend einschränkt und ihn formell von einem berechtigten Interesse abhängig macht, hebelt das Bundesministerium der Finanzen dieses Grundrecht aus.
Das Verfahrensrecht in Besteuerungsverfahren (Abgabenordnung – AO) sieht einen Auskunftsanspruch Betroffener nicht vor. Da die AO vom Steuergesetzgeber als abschließende Regelung betrachtet wird, wurde bislang auch die Anwendung des § 19 BDSG abgelehnt. Seit vielen Jahren setzen sich die Datenschutzbeauftragten des Bundes und der Länder – bislang erfolglos – dafür ein, eine bereichsspezifische Reglung zu erreichen.
Mit Beschluss vom 10. März 2008 (1 BvR 2388/03, NJW 2008, 2099) hat auch das Bundesverfassungsgericht nunmehr u.a. klargestellt, dass „das Interesse Betroffener von den sie betreffenden informationsbezogenen Maßnahmen des Staates Kenntnis zu erlangen grundrechtlich durch sein in Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gewährtes Grundrecht auf Schutz der Persönlichkeit in der Ausprägung als Grundrecht auf informationelle Selbstbestimmung und ferner durch den Anspruch auf effektiven Rechtsschutz (Art. 19 Abs. 4 GG) geschützt wird“.
Insbesondere heißt es in dem Urteil:
„Ist eine staatliche Stelle zu informationsbezogenen Eingriffen berechtigt, deren Vornahme oder Umfang der Betroffene nicht sicher abschätzen kann, da er in den Informationsverarbeitungsprozess nicht oder nicht stets einbezogen wird, und besteht zudem keine Pflicht dieser Stelle zur aktiven Benachrichtigung des Betroffenen, kommt einem Informationsrecht auf eigene Initiative zentrale Bedeutung für den Grundrechtsschutz zu“.
Schließlich führt das BVerfG aus, dass § 19 BDSG als rechtmäßige Grundlage des Auskunftsanspruchs auch gegenüber den Bundesfinanzbehörden gilt.
Gleichwohl hat das BMF durch einen umfangreichen Erlass vom 17. Dezember 2008 an die Landesfinanzbehörden nicht auf § 19 BDSG verwiesen, sondern den Auskunftsanspruch grundsätzlich von einem berechtigten Interesse eines Anspruchstellers abhängig gemacht und ihn durch zahlreiche Vorgaben, wann ein solches Interesse gerade nicht anzunehmen sei, ausgehöhlt.
Diese einschränkenden Vorgaben widersprechen dem Beschluss des BVerfG. Denn die Auskunft soll gerade nicht an eine Pflicht zur Darlegung eines berechtigten Interesses des Steuerpflichtigen an der Auskunft geknüpft sein, sondern – umgekehrt – soll die Steuerverwaltung jeweils im Einzelfall etwaige gegenläufige Interessen nachprüfbar abwägen.
Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in ihrer 77. Sitzung vom 26./27. März 2009 eine entsprechende Entschließung gefasst und den Bundesgesetzgeber aufgefordert, den Auskunftsanspruch durch eine, dem § 19 BDSG entsprechende Regelung in der AO klarzustellen (s. Ziff. 9.5). Der BfDI hat den Erlass des BMF mit Schreiben vom 15. Mai 2009 beanstandet.
Bislang wurde die Weisung nicht aufgehoben. Allerdings hat das BMF angekündigt, eine bereichsspezifische Regelung in der Abgabenordnung zu schaffen, die den vom BVerfG beschriebenen Anforderungen entspricht.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht
In diesem Jahr habe ich das Verfahren „Steuerkontoabfrage“ geprüft, mit dem Bürger und von ihnen Bevollmächtigte, also Steuerberater, Firmenvertreter oder sonstige Bevollmächtigte, den aktuellen Stand von Steuerkonten abfragen können. Das Verfahren nutzt jetzt mit der Authentisierung die richtige Funktion, das Sicherheitsniveau wurde bei dieser Korrektur aber abgesenkt. Die bislang irreführende Information für die Bürger im Internet wurde korrigiert.
Bisher wurde für die Teilnahme an der Steuerkontoabfrage eine qualifizierte elektronische Signatur verlangt, obwohl es inhaltlich nicht um die Einhaltung eines Schriftformerfordernisses geht. Zweck sollte stattdessen sein sicherzustellen, dass nur eine befugte Person Zugriff auf diese Daten erhält. Dies kann nur mit einem Authentisierungsverfahren erreicht werden. Die Verwendung von falschen Funktionen im Zusammenhang mit ELSTER wurde von mir mehrfach kritisiert (s. 35. Tätigkeitsbericht, Ziff. 4.4; 32. Tätigkeitsbericht, Ziff. 18.5).
Inzwischen wurde dieses Verfahren geändert: Auf den Internet-Seiten von ELSTER wird jetzt für die Steuerkontoabfrage der Einsatz von „Signaturkarten für Authentifizierung“ gefordert und die für das Verfahren zugelassenen Karten und ihre Herausgeber werden aufgelistet.
Im Hessischen Ministerium der Finanzen wurde mir die Steuerkontoabfrage im Detail demonstriert. Für die Steuerkontoabfrage wird jetzt die zutreffende Funktion eingesetzt. Auch das Verfahren, mit dem der Kontoinhaber Dritte zum Zugriff bevollmächtigen kann, ist plausibel. Unter Sicherheitsaspekten sollten die Authentisierungsschlüssel aber auf sicheren Signaturerstellungseinheiten nach SigG gespeichert sein und den aktuellen Algorithmen und Parametern für qualifizierte Signaturen entsprechen. Diese Anforderung wurde von ELSTER früher mit der Formulierung „qualifizierte Signaturkarte“ beschrieben. Aktuell heißt es jetzt: „In Anlehnung an die Empfehlungen des BSI und der Bundesnetzagentur empfiehlt ELSTER zur Gewährleistung eines langfristigen Sicherheitsniveaus die Verwendung von Signaturkarten für Authentifizierung mit einer Schlüssellänge von 2048 Bit und des Hash-Algorithmus RipeMD-160 oder SHA256.“ Dies bedeutet, dass diese Empfehlung nicht durchgesetzt wird. Vielmehr werden für die Steuerkontoabfrage sowohl bei den Signaturkarten selbst als auch bei der Zuverlässigkeit der Identifizierung der Schlüsselinhaber bis hin zu den verwendeten Schlüssellängen und Algorithmen weniger sichere Varianten zugelassen.
Zurück zur Übersicht
Zurück zum Inhaltsverzeichnis des 38. Tätigkeitsbericht